A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) emitiu um alerta sobre uma vulnerabilidade de segurança que afeta o Apache OFBiz, um sistema de planejamento de recursos empresariais (ERP) de código aberto. Essa vulnerabilidade, identificada como CVE-2024-38856, foi adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA devido a evidências de sua exploração ativa.

A CVE-2024-38856 recebeu uma pontuação CVSS de 9.8, sendo classificada como crítica em termos de gravidade. A falha permite que invasores executem código remotamente sem a necessidade de autenticação prévia, representando um risco severo para os sistemas afetados. Essa vulnerabilidade pode ser explorada por meio de solicitações maliciosas especialmente criadas, levando à execução remota de código.

Versões do Apache OFBiz até 18.12.13 são afetadas pela CVE-2024-36104, enquanto as versões até 18.12.14 são impactadas pela CVE-2024-38856. O Apache OFBiz é um ERP de código aberto amplamente utilizado que suporta várias funções empresariais, como gestão de relacionamento com clientes e processamento de pedidos. Devido à sua ampla utilização, vulnerabilidades de segurança no OFBiz podem ter impactos significativos em diversas empresas.

A vulnerabilidade, identificada pela Fundação Apache, foi publicada em 5 de agosto de 2024 e atualizada em 28 de agosto de 2024. A falha envolve uma autorização incorreta nas versões do Apache OFBiz até 18.12.14, permitindo o acesso não autenticado a certos endpoints. Isso pode possibilitar que atacantes executem códigos de renderização de tela se determinadas condições forem atendidas, especialmente se as definições de tela falharem em verificar permissões de usuário devido a problemas na configuração dos endpoints.